améliorer sécurité NAS

[j0ffr37]

Bonjour à tous, 

Je souhaite améliorer la sécurité de mon nas (scan et tentative intrusion de l'extérieur)

SITUATION ACTUELLE

actuellement, j'utilise un nom de domaine ( maison.moi)

mon dns est programmé tel que :

maison.moi => mon IP et un sous domaine par application (drive, photo, webmail mailplus, downland station)

mon pare feu est actuellement ouvert librement à mon réseau intranet domestique et comme règles pour l'extérieur (faux numéros de port sauf pour les par défaut) :

• - port 25 ouvert sur le monde entier (faire tourner mailplus server)
• - port 465/587/993 et 995 ouvert sur la France pour l'accès aux clients mails
• - port 1234/4567 (interface de gestion http et https) port 1234/4567 (client BT TCP et DHT UDP), port 12345 (hybrid share), port 1234 (synology drive server ouverts sur la France
• - port 80 et 443 ouverts sur la France

dans les portails de connexion (reverse dns) j'ai bien relié les applications (drive, photo, webmail mailplus, downland station) aux domaines dédiés (exemple photo.maison.moi)

Enfin sur le routeur, ne sont routés que les ports 25, 80,443 le port BT TCP et BT DHT TCP, le port synology drive server

CE QUI NE ME CONVIENT PAS 

Actuellement, le fait de taper http://maison.moi renvoi bien sur l'accés DSM en https tout comme les sous domaines. Par contre le fait de taper http://12.23.56.45:80 ne renvoit pas sur une connexion https et je ne comprends pas pourquoi vu que dans service web j'ai bien activé "rediriger automatiquement HTTP vers HTTPS"

Egalement je souhaiterai que le fait de taper maison.moi , 12.23.56.56:80 ou 12.23.56.56:443 ne donne plus accès à l'identification DSM, et que pour accéder à DSM il faille désormais passer par un sous domaine (ex: desktop.maison.moi)

comment faire ? Egalement si vous remarquer des failles dans les réglages pare feu actuel 🙂

[Kramlech]

Il y a 2 heures, j0ffr37 a dit :

Egalement je souhaiterai que le fait de taper maison.moi , xx.xx.xx.xx:80 ou xx.xx.xx.xx:443 ne donne plus accès à l'identification DSM, et que pour accéder à DSM il faille désormais passer par un sous domaine (ex: desktop.maison.moi)

Attention : masque ton adresse IP ....

Les URL avec adresse IP ne sont pas interceptées par le Reverse Proxy.

Ton adresse IP fera systématiquement pointer sur ta box, tu ne peux rien faire contre cela. Si les URLs que tu donnent te font arriver sur le DSM, c'est qu'au niveau de ta box tu as redirigé ces ports vers ton NAS, et que tu n'as pas activé Web Station. Dans ce cas, un mécanisme interne au DSM bascule automatiquement l'appel du port 80 vers le port 5000 et le 443 vers le 5001.

Pour éviter cela, tu doit activer Web Station. Dans ce cas les ports 80 et 443 seront bien pris en compte par Web Station et plus redirigés vers le DSM. Et si tu n'as pas de site web actif dans Web Station, un écran standard (site en construction ou équivalent) seront affichés.

Il y a 3 heures, j0ffr37 a dit :

je ne comprends pas pourquoi vu que dans service web j'ai bien activé "rediriger automatiquement HTTP vers HTTPS"

Je n'utilise pas cette option (mon port 80 n'est pas ouvert), donc je ne peux pas t’aider sur ce point....

[j0ffr37]

il y a 32 minutes, Kramlech a dit :

Attention : masque ton adresse IP ....

Sauf les numéros de ports standards ( 25, 80 , ....) tout les noms de domaines, IP et ports sont fictifs 🙂

il y a 32 minutes, Kramlech a dit :

Les URL avec adresse IP ne sont pas interceptées par le Reverse Proxy.

Ton adresse IP fera systématiquement pointer sur ta box, tu ne peux rien faire contre cela. Si les URLs que tu donnent te font arriver sur le DSM, c'est qu'au niveau de ta box tu as redirigé ces ports vers ton NAS, et que tu n'as pas activé Web Station. Dans ce cas, un mécanisme interne au DSM bascule automatiquement l'appel du port 80 vers le port 5000 et le 443 vers le 5001.

Pour éviter cela, tu doit activer Web Station. Dans ce cas les ports 80 et 443 seront bien pris en compte par Web Station et plus redirigés vers le DSM. Et si tu n'as pas de site web actif dans Web Station, un écran standard (site en construction ou équivalent) seront affichés.

Mais web station n'est pas pour l'hebergement de site web type joomla, wordpress, etc... ? Du coup si j'installe web station, https://maison.moi arrivera sur une page en construction, mais quid des sous domaines pour les accés aux applications :
photo.maison.moi , etc..

Et comment faire en sorte que desktop.maison.moi arrive sur l'accés DSM ?

 

 

Modifié le 3 mars 2023 par j0ffr37

[j0ffr37]

Question subsidiaire, pour le sous-domaine desktop.maison.moi que je souhaite faire pointer sur l'accés DSM, j'ai un message d'erreur :

 

 

Votre connexion n'est pas privée

Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site desktop.maison.moi (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus

NET::ERR_CERT_COMMON_NAME_INVALID

 

Pour bénéficier du niveau de sécurité le plus élevé de Chrome, activez la protection renforcée

ActualiserMasquer les paramètres avancés

Un chiffrement est normalement utilisé sur le site desktop.maison.moi pour protéger vos informations. Lors de la dernière tentative de connexion de Chrome au site desktop.maison.moi, des identifiants inhabituels et incorrects ont été retournés. Il est possible qu'un individu malveillant tente de se faire passer pour desktop.maison.moi ou qu'un écran de connexion Wi-Fi ait interrompu la connexion. Vos informations restent sécurisées, car nous avons arrêté la connexion avant l'échange des données.

Le site desktop.maison.moi est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.

Modifié le 3 mars 2023 par j0ffr37

[oracle7]

@j0ffr37

Bonjour,

Pour ton domaine "maison.moi", as-tu bien créé un certificat Let'sEncrypt ?

- si Oui, dans les paramètres de ce certificat, l'as-tu bien affecté à tous tes services/applications en sélectionnant ton domaine avec le popup ?

- si Non, il te faut en créer un pour ce domaine ainsi que pour son wilcard associé ("*.maison.moi") afin de couvrir tous tes "sous-domaines ainsi que ceux à venir.

Cordialement

oracle7😉

 

[Kramlech]

Il y a 1 heure, j0ffr37 a dit :

Mais web station n'est pas pour l'hebergement de site web type joomla, wordpress, etc... ? Du coup si j'installe web station, https://maison.moi arrivera sur une page en construction, mais quid des sous domaines pour les accés aux applications :
photo.maison.moi , etc..

Et comment faire en sorte que desktop.maison.moi arrive sur l'accés DSM ?

As-tu bien suivi le tuto sur le Reverse Proxy ?

Si tu as paramétré ton Reverse Proxy pour qu'il écoute le port 443, il va intercepter les URL que tu veux et les rediriger ou tu veux ...

• Tu lui dis que https://maison.moi doit être redirigé vers localhost (ou l'IP locale de ton NAS), port 5000, tu arriveras sur ton DSM
• Tu lui dit que https://photo.maison.moi doit être redirigé vers localhost (ou l'IP locale de ton NAS), port 5080, tu arrivera sur Synology Photos
• Etc ...
• S'il n'y a aucune règle applicable, le RP laisse passer la demande tel quel ...

il y a une heure, j0ffr37 a dit :

Votre connexion n'est pas privée

Cela signifie que tu n'as pas de certificat valide (voir la réponse de @oracle7qui est arrivée pendant que je rédigeais la mienne).

Techniquement, ce n'est pas une erreur, c'est une alerte. Théoriquement tu dois pouvoir outrepasser cette alerte (possible avec Firefox, à vérifier avec Chrome). Dans ce cas, le certificat existant est enregistré dans ton navigateur, même s'il ne correspond pas à l'URL appelée. Ce n'est pas pour cela que les échanges ne seront pas chiffrés, mais tu n'auras aucune garantie que le serveur qui te répond soit bien celui appelé !!! (très mauvaise habitude, à ne pas faire).

il y a une heure, j0ffr37 a dit :

Le site desktop.maison.moi est actuellement inaccessible, car il utilise la technologie HSTS.

C'est un paramétrage que tu as donné. Cela signifie que le site ne peut être accéder qu'en https. Ceci est mémorisé dans ton navigateur, ce qui fait que même si tu modifies ce paramètre, tu continueras à ne pouvoir accéder au site qu'en https (le navigateur forcera le https). Il faut vider le cache du navigateur pour corriger cela.

Cela signifie aussi que dans ton Reverse Proxy, tu sera obligé de faire des redirection en https, et non en http, ce qui est ballot car cela provoque un double chiffrement ! 

Modifié le 3 mars 2023 par Kramlech

[oracle7]

@Kramlech

Bonjour,

il y a 5 minutes, Kramlech a dit :

Cela signifie aussi que dans ton Reverse Proxy, tu sera obligé de faire des redirection en https, et non en http

Désolé, mais ce n'est pas exact, cela n'oblige en rien dans le reverse proxy, TOUTES mes règles de RP utilisent le HSTS et j'ai des redirections en HTTP sans aucun problème.

Lorsque l'on utilise le HSTS (il faut savoir aussi que cela demande aussi d'avoir un certificat valide), c'est le navigateur qui enregistre cette information pour le site visité et il ne laissera plus ensuite passer autrement qu'en HTTPS, même si ce dernier est coupé (HSTS coché puis décoché). D'où l'obligation de vider le cache du navigateur pour s'en débarrasser.

Le but du HSTS est d'éviter le problème du "man in the middle" càd que la requête HTTP ne soit interceptée et modifiée par un malveillant avant d'être convertie en HTTPS sur le serveur. C'est le navigateur qui fait ce boulot en premier sur la base une liste préchargée de domaines. C'est un mécanisme de protection est normé (RFC 6797).

Si on veux faire précharger son domaine pour qu'il passe directement en HSTS auprès des navigateurs, il faut s'enregistrer  ici. Cela prend quelques jours pour être effectif.

Il faut aussi modifier le fichier htaccess en conséquence (du moins si on l'utilise pour forcer le HTTP en HTTPS).

Cordialement

oracle7😉

[Kramlech]

il y a 36 minutes, oracle7 a dit :

Désolé, mais ce n'est pas exact, cela n'oblige en rien dans le reverse proxy, TOUTES mes règles de RP utilisent le HSTS et j'ai des redirections en HTTP sans aucun problème.

Ok, j'en prend note, c'était un raisonnement et je n'avais jamais testé. Je n'utilise pas le HSTS (très mauvaise expérience il y a quelques années). J'ai contourné le problème en n'acceptant que les connexions sur le port 443 ...

[Jeff777]

Il y a 2 heures, Kramlech a dit :

J'ai contourné le problème en n'acceptant que les connexions sur le port 443 ...

Bonsoir,

Avant d'utiliser le HSTS il faut rediriger toutes les requêtes http en https avec un fichier .htaccess.

Il n'est pas nécessaire dans les RP de rediriger vers https on  laisse en http. Puis, comme dit @oracle7 il faut s'inscrire et modifier le .htaccess qui devient :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

Puis il faut être patient !

[j0ffr37]

Alors petite mise à jour :

- j'avais en effet oublié d'ajouté un sous-domaine dans la demande de certificat let's encrypt, résolu et mon sous-domaine d'accés au dsm fonctionne.

- dans portail de connexion, j'ai indiqué le sous-domaine comme domaine personnalisé et c'est ok. J'avais peur que cela puisse impacter mailplus mais tout est bon de ce coté

- J'ai installé web station et laissé tel quel, j'ai désormais une page site en contruction quand je tape juste maison.moi ou mon ip publique, 

- dans le pare-feu, j'ai pu passer les ports imap et smtp avec la localisation france et je ne laisse plus que le port 25 en ouverture monde

- j'ai ajouté le script qui actualisé la liste d'IP bloquées de blocklist.de toutes les heures avec une expiration à 30 jour afin de ne pas avoir dans 1 an 200 000 ip en memoire

Alors que l'installation de mailplus serveur avait déclenché des tentatives de connexion toutes les heures sur postfix, je n'en ai plus une seule depuis vendredi soir.

ps : j'ai enlevé HSTS mais activé la redirection automatique de http en https dans portail de connexion, ce ne serait pas la même fonction en fait ?🤔

 

L'étape suivant va être la délocalisation de mon second nas de backup (hyperbackup du Nas principal) dans un autre logement. Par contre je vais donc devoir modifier sa config pour faire en sorte que le nas de backup ne s'ouvre que pour 2 ip : chez moi et au boulot. PAs d'utilité de me lancer dans un tunnel vpn donc ?

[oracle7]

@j0ffr37

Bonjour,

Il y a 9 heures, j0ffr37 a dit :

j'ai enlevé HSTS mais activé la redirection automatique de http en https dans portail de connexion, ce ne serait pas la même fonction en fait ?

NON, HSTS activé force ton navigateur à n'accepter que des requêtes HTTPS et la redirection HTTP vers HTTPS porte bien son nom et elle redirige toute requête HTTP vers du HTTPS. Tu saisis la nuance ?

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

 

Modifié le 6 mars 2023 par oracle7

[Jeff777]

Il y a 1 heure, oracle7 a dit :

NON, HSTS activé force ton navigateur à n'accepter que des requêtes HTTPS et la redirection HTTP vers HTTPS porte bien son nom et elle redirige toute requête HTTP vers du HTTPS. Tu saisis la nuance ?

Il me semble qu'en plus,  lorsqu'un navigateur  est enregistré dans la liste HSTS d'un domaine, la clé du chiffrage HTTPS est connue du navigateur Cela évite le moment critique ou il y a échange de cette clé lors de la requête initiale et où un intru pourrait s'en emparer (Man In The Middle).

[j0ffr37]

@oracle7 @Jeff777 hum je vais pas activer le HSTS car un peu relou si j'ai un souci avec mes certificats. Saut si le HSTS est vraiment important niveau sécurité.

Ensuite pour la sauvegarde hyper backup sur un second nas distant, l'option cryptage dans hyperbackup suffit ou vous me conseillez de mettre un tunnel vpn ? (sachant que je vais verrouiller le nas distant pour qu'il ne soit accessible que de mes IP domicile et bureau )

[Mic13710]

il y a 8 minutes, j0ffr37 a dit :

l'option cryptage chiffrement dans hyperbackup

Il y a 2 chiffrements possibles : celui du transfert et celui des données sur le NAS de destination.

Celui du transfert est assez protecteur, mais si vous la jouez en mode parano, vous pouvez passer ou même y ajouter le VPN. Chaque solution implique plus de ressources et induit du temps de traitement supplémentaire.

Si vous optez pour le VPN avec une connexion permanente, le serveur du NAS peut parfois se déconnecter et ne pas se reconnecter après quelques tentatives. Il existe un script qui améliore la reconnexion de manière très significative : https://github.com/ianharrier/synology-scripts/blob/master/reconnect-vpn.sh

Il n'est pas efficace à 100% et il nécessite parfois de relancer manuellement la connexion, notamment lorsque l'un des NAS a été arrêté, mais les interventions restent très rares.

Perso, j'utilise ce script pour maintenir un tunnel VPN entre 2 NAS pour faire des sauvegardes croisées avec Hyperbackup avec chiffrement des transferts.

[j0ffr37]

Je vais donc partir sur le chiffrement du transfert. pour économiser l'usure des disques et les risques d'attaques, le nas de sauvegarde est programmé pour se réveiller une nuit par semaine, recevoir la sauvegarde hyoerbackup puis se rendormir. (hors les cas ou je l'allume volontairement pour l"entretien" : MAJ, etc..)
ce qui risque donc de compliquer la fiabilité du tunnel vpn